リスクマネジメント
取り組み

財務リスクマネジメントの推進

キヤノン（株）の財務報告に係る内部統制は、米国トレッドウェイ委員会支援組織委員会（COSO）が公表した「内部統制の統合的枠組み（2013年版）」で確立された規準にもとづき、整備と運用を行っています。また、「財務リスク分科会」では、日本の会社法や金融商品取引法、および米国のサーベンス・オクスリー法への対応を含め財務リスクに関する内部統制の強化を目的とした活動をグループ全体に展開しています。

具体的には、各グループ会社の自律的な活動や自主的な教育を支援し、各社が主体的に財務リスクに対する業務手続きのPDCAサイクルを回すことで、グループ全体の「財務報告の信頼性確保」における質的改善を図っています。

これらの取り組みの結果、2023年度末時点での「財務報告に係る内部統制は有効である」と判断しています。

2024年3月に米証券取引委員会（SEC）に対して登録廃止申請を行いました。申請が認められると、財務報告に係る内部統制の報告はこれまでのCOSO規準から金融商品取引法にもとづく内部統制の基本的枠組みに準拠して行うことになりますが、財務リスクマネジメントの強化としてこれまで行ってきた活動は変えることなく継続していきます。

コンプライアンスの推進

「コンプライアンス分科会」では、「キヤノングループ行動規範」にもとづく企業倫理をグループ内で徹底させるとともに、コンプライアンス体制の整備を進め、これを定期的に見直しています。これらの取り組みの結果、2023年もキヤノンに重大な影響を与える罰金などの制裁措置は受けていません。

企業倫理の徹底

キヤノングループ行動規範 / コンプライアンス・カード

キヤノンは、1992年制定の「キヤノン行動規範」を刷新し、2001年に「キヤノングループ行動規範」を制定しました。グループ全体の経営姿勢を示すとともに、役員・従業員が業務の遂行にあたり守らなければならない規準を示しています。世界各国・地域の役員・従業員が内容を理解できるよう、日本語版のほか、英語、フランス語、中国語など20言語以上に翻訳され、各グループ会社はそれぞれの取締役会などで同規範の採択を決議し、役員・従業員に配布またはイントラネットに掲載するなど、その浸透に努めています。

また、従業員がつねに携行可能な「コンプライアンス・カード」を作成し、日本語版のほか、英語、フランス語、中国語など20言語以上に翻訳して、国内外のグループ会社の役員・従業員に配布しています。このカードには創業期からの行動指針である「三自の精神」のほか、日々、自らの行動を自己点検するための「コンプライアンス・テスト」が記載されています。

企業倫理・コンプライアンス教育

キヤノンでは、事業を展開する地域の状況に応じて、企業倫理やコンプライアンスに関わる従業員教育を行っています。

たとえばキヤノン（株）および国内グループ会社では、入社時研修などを通じて、役員・従業員を対象に教育を実施しています。また、2004年以来、上期と下期の年2回、「コンプライアンス週間」を設定し、コンプライアンスに関する課題について職場ごとに議論を行い、コンプライアンス意識の浸透と法令遵守を実現する業務プロセスの整備・改善に取り組んでいます。

社内外からの通報制度

キヤノン（株）は、法令違反、贈収賄などの腐敗行為、その他キヤノングループ行動規範違反を含むコンプライアンス関連の内部通報を受ける窓口を設けています。通報者の秘密を守ること、通報によって不利益な取り扱いを受けないことを保証し、社内のコンプライアンス総合サイトや研修などを通じて通報窓口の周知に努めるなど、適切な利用のための施策を行っています。また、匿名での通報も可能となっています。コンプライアンス違反の可能性がある通報については、事実関係の調査を行い、最終的に違反の有無の判定を行います。調査の結果、コンプライアンス違反が認められた事案については、必要な是正措置・再発防止策を取っています。

内部通報窓口は、国内外のほぼすべてのグループ会社にも設置されています。キヤノン（株）では、グループ会社の内部通報制度の運用状況を把握するため、グループ会社から半期ごとに報告を受けています。各社からの報告内容は、件数だけでなく案件ごとの通報内容や調査・対応結果、再発防止策なども含まれます。キヤノン（株）およびグループ会社で通報を受けて調査が完了した事案およびそのうちコンプライアンス違反が認められた事案については、類型ごとに分析し、その結果をリスクマネジメント委員会に毎年報告するとともに、各グループ会社にフィードバックしています。

さらに、キヤノン（株）では、社外のステークホルダーに対しても窓口を設けています。ステークホルダーはこの窓口を通じて、キヤノンの企業活動にともなう人権に関する具体的な懸念や情報、その他サプライチェーンにおけるさまざまなリスクに関する具体的な懸念について通報することができます。通報を受け付けた件については、事実関係の調査を行い、問題があると判断されれば、適切な手続きを通じてその是正や再発防止に取り組みます。また、通報者のプライバシーを保護し、通報したことを理由とする不利益な取り扱いを受けることがないよう、匿名での通報を可能とするなど、十分な配慮がなされています。

2023年の年間通報件数は、日本を含むアジア、米州を中心にグループ全体（従業員数16万9,151人）で298件あり、2023年末時点で調査が完了した通報のうちコンプライアンス違反が認められた事案は43件です。なお、2023年の通報のなかに重大なコンプライアンス違反事例はありませんでした。

コンプライアンス体制の整備

キヤノンでは、リスクが現実の問題として発現する可能性や、発生した場合の経営や事業への影響度合いなどを勘案して、キヤノンが直面し得る独占禁止法違反、腐敗防止法違反、安全保障輸出規制違反などの重大なコンプライアンス違反リスクを特定しています。これらのリスクを低減するために、業務フローの整備、ルールの整備、関係従業員への法令教育、監査・点検の実施など遵法体制の整備を行っています。

安全保障貿易管理の徹底

キヤノンは、大量破壊兵器および通常兵器の開発・製造に転用可能な貨物や技術に関する輸出規制を遵守するため、代表取締役社長を最高責任者とする管理体制を構築して運用しています。具体的には「貨物および技術が規制対象か否か」「取引先が大量破壊兵器の開発に関与していないか」などについて、厳格な審査を行った上でビジネスを行っています。

安全保障貿易管理は、一つの国・地域だけの取り組みでは不十分で、国際条約や国際輸出管理レジームの合意を基本とした国際的協調が重要です。キヤノンでは安全保障貿易管理の分野において統一した管理方針および基準を保つため、「キヤノン安全保障貿易管理ガイドライン」を定めて国内外グループ会社で運用しています。

昨今では先端技術開発競争や情報セキュリティ、人権問題などを理由に安全保障貿易管理規制の枠組みを用いて、特定の国・地域や企業を対象とした取引を規制しようとする動きも見られます。キヤノンでは、ビジネス領域を広げていくなかで注意を払うべき取引も増加しており、世界情勢や最新の規制動向を確認しながら、安全保障貿易管理を徹底しています。

独占禁止法の遵守

製品の開発から、生産、販売、そしてアフターサービスまでを担うキヤノンにとって、すべての事業活動に適用される独占禁止法は、遵守を徹底すべき重要な法律の一つです。

キヤノン（株）の事業部門および販売・サービス機能を担う国内外のグループ会社では、独占禁止法違反のリスクがある部門の従業員に対して、独占禁止法の趣旨や違法行為類型、業務遂行上の留意事項などについて定期的に研修を実施しています。また、独占禁止法に関する相談窓口を法務部門に置き、法律の解釈や適用について疑問がある場合には同窓口に相談するよう周知徹底しています。

腐敗防止

キヤノンでは、「キヤノングループ 企業の社会的責任に関する基本声明」において、「9. 贈収賄等腐敗行為の防止」を明記し、社内外のすべてのステークホルダーに対してキヤノンの贈収賄などの腐敗防止に対する企業方針を表明しています。また、「キヤノングループ行動規範」において、キヤノンの役員・従業員は、取引先、会社の顧客から社会的常識の範囲を超えた贈与、接待などの利益を受けてはならないこと、官公庁、取引先、会社の顧客に対し同様の利益を与えてはならないこと、利益相反を生じる行為やインサイダー取引を行ってはならないことなどを明記しています。サプライヤーに対しては、上記基本声明を受けて「キヤノンサプライヤー行動規範」を発行し、贈収賄などの腐敗行為を行わないことを要請しています。

上記方針のもと、キヤノンでは事業遂行に際して直面し得るリスクの洗い出しと評価を行った上で、リスクマネジメント委員会において腐敗防止法違反リスクを重大なリスクの一つと位置づけています。その対応策としては、トランスペアレンシー・インターナショナルが公開している腐敗認識指数（Corruption Perceptions Index）などを用いて事業を行う国・地域や事業内容をもとに腐敗リスクを評価し、そのリスクに応じて、米国の海外腐敗行為防止法（FCPA）や英国の贈収賄防止法（Bribery Act）など主要国・地域における腐敗防止に関する法令やガイドラインに従った腐敗防止体制を整備しています。具体的には、高リスクと評価した事業・地域については、各グループ会社において、担当部門を設定し、腐敗防止に関する基本方針や会社規程の策定を通じて、腐敗防止に対する経営姿勢や遵守すべき事項を明確にしています。また、取引先や仲介者などキヤノン以外の第三者による腐敗防止体制（デュー・デリジェンスの実施や契約での賄賂禁止条項の規定など）の構築に取り組むとともに、リスクが高い業務に従事する従業員に対しては、主要国・地域の腐敗防止に関する法令の理解を深めるための教育を毎年実施しています。加えて、腐敗リスクに応じて監査を実施するほか、サプライヤーに対してはサプライチェーンの管理の一環として行っている年1回の定期調査のなかで、賄賂や不適切な利益の授受を防止する取り組みの有無を確認しています。さらに、このような腐敗防止体制を含むリスクマネジメント体制の整備・運用状況をリスクマネジメント委員会において毎年評価し、その評価結果を代表取締役CEOおよび取締役会に報告しています。

個人情報の保護

キヤノン（株）では、経営会議での審議を経て2002年4月に制定された「個人情報保護方針」にもとづき、「個人情報保護規程」をはじめとした個人情報の取り扱いを定めたルールを整備しています。

また、リスクマネジメント委員会において個人情報保護法違反リスクを重大なリスクの一つと位置づけ、国内外のグループ会社においても、定期的に自主点検や教育を実施して個人情報を適切に取得・利用する体制の整備を推進しています。

2018年5月にEU一般データ保護規則（GDPR）^※が施行されて以降、2020年に日本で改正個人情報保護法が成立、米国カリフォルニア州でCCPA（California Consumer Privacy Act）が施行、また、2021年には中国で個人情報保護法が施行されるなど、世界各国・地域で個人情報保護規制強化の動きが活発になっています。キヤノンはこれらの法制化動向を今後も継続的にモニターし、適切に対処していきます。

• ※ General Data Protection Regulation

事業リスクマネジメントの推進

「事業リスク分科会」では、事業活動を進める上で発生するリスクについて、発生した場合の影響の大きさを勘案して重大リスクを定め、そのマネジメントを担当しています。

重大リスクに選定された各リスクについて、活動の主体となる所管部門と協同で活動方針・計画を定め、各部門および各グループ会社の担当部門を通じて、体制の整備やリスク低減活動を推進しています。

情報セキュリティの徹底

キヤノンは、情報セキュリティを重要な経営課題ととらえ、情報セキュリティ規程の基本理念をもとに、グループ全体で取り組むためのマネジメント体制を確立しています。この体制のもと、情報セキュリティ対策として「内部からの情報漏えい対策」「外部からのサイバー攻撃対策」、その他の対策として「生産設備のセキュリティ対策」「従業員の意識向上に向けた情報セキュリティ教育」を実施しています。

また、キヤノンでは情報セキュリティ部門を登録範囲として、情報セキュリティマネジメントシステムを構築・運用するための国際規格であるISO27001の外部認証を取得しています。

情報セキュリティマネジメント体制の状況

キヤノンは、キヤノン（株）情報セキュリティ担当役員である情報通信システム本部長を情報セキュリティの意思決定責任者と位置づけ、キヤノン（株）の情報通信システム本部が実務組織として、グループ全体の情報セキュリティマネジメントにおける責任を担っています。

万が一、情報セキュリティに関する事件・事故が発生した場合は、情報通信システム本部に報告され、状況に応じリスクマネジメント委員会に報告する体制となっています。

また、情報通信システム本部は情報セキュリティをグループ全体で同じレベル、同じ考え方で維持することを目的として、「グループ情報セキュリティルール」を策定し、国内外のグループ会社に適用しています。グループ会社では同ルールをもとに、各社の実情にあわせた規程やガイドラインを策定するとともに、教育啓発活動を実施しています。また、各グループ会社の取り組み状況については、同ルールにもとづいた各グループ会社による内部点検および情報通信システム本部による定期的な監査によって確認し、必要に応じて施策の改善や見直しを行っています。

2023年も国内グループ会社23社、海外グループ会社27社を対象に、情報セキュリティ監査を実施しました。

情報セキュリティインシデントが発生した際に、対処するための専門チームCSIRT^※（シーサート）を2015年にキヤノン（株）情報通信システム本部内に設置しました。同時に、日本シーサート協議会（NCA）に加盟し、他社CSIRT組織との連携強化を図っています。

• ※ Computer Security Incident Response Teamの略。コンピューターセキュリティにかかる事件・事故に対処するための組織の総称

情報システムセキュリティ対策

キヤノンは、情報セキュリティの三要素といわれる「機密性」「完全性」「可用性」^※1を保持するための施策に取り組んでいます。

内部からの情報漏えい対策として、最重要情報はセキュリティを強化した専用のシステムに保管し、アクセス制限や利用状況の記録を徹底しています。また、社外から自社の情報資産に安全にアクセスできる環境を構築した上で、メールのファイル添付送信やPC・記録メディアの社外持ち出しを管理しています。

また、外部からのサイバー攻撃対策として、マルウエア^※2などが添付された不審メールの侵入監視、社内からインターネットへの不正通信の監視を実施し、攻撃被害の拡大防止に努めています。

さらに、サイバー攻撃を想定した対応訓練（NISC^※3/NCA連携 分野横断的演習）に2017年より毎年参加し、障害対応体制の強化を図っています。

• ※1 機密性：許可された者だけが情報にアクセスできるようにすること
  完全性：情報や処理方法が正確で、改ざんされないよう保護すること
  可用性：許可された者が必要とする時に情報にアクセスできるようにすること
• ※2 不正かつ有害な動作を行う意図で作成された悪意のあるソフトウエア。コンピューターウイルス、ランサムウエアなど
• ※3 National center of Incident readiness and Strategy for Cybersecurity（内閣サイバーセキュリティセンター）の略

生産設備のセキュリティ対策

キヤノンは、マルウエアやサイバー攻撃によって工場の生産設備に稼働障害が発生し、生産計画に問題が生じることがないよう、生産設備のセキュリティ対策に取り組んでいます。

従来、サイバー攻撃の対象は企業の業務システムやWebシステムなどの情報システムが主体でしたが、生産設備においても汎用OSの利用やIoT化が進み、情報システムと同等の情報セキュリティリスクが生じています。生産設備の運用期間は汎用OSのサポート期間よりも長期にわたり、情報システムとは別のセキュリティ対策が必要となるため、キヤノン（株）および国内外のグループ生産会社では、ウイルス感染などによる操業停止に陥らないよう、生産設備系ネットワークの不正通信監視を行っています。

また、生産設備についてもセキュリティ監査を実施し、安全な生産環境の維持を図っています。

従業員の意識の向上をめざす情報セキュリティ教育

キヤノンは、情報セキュリティの維持・向上のため、情報システムの利用者である従業員の意識向上にも注力しています。

定期入社者、中途入社者ともに集合教育を通じてキヤノンの情報セキュリティに関する施策やルールの徹底を図っています。また、毎年、役員と全従業員を対象として、eラーニングによる情報セキュリティ研修を実施しています。

2023年はキヤノン（株）の従業員全員の約2万4,000人が受講しました。研修内容は、現在主な脅威となっているウイルス感染の事例を確認し、インターネット・SNS利用時における注意点など、従業員の情報セキュリティリテラシー^※を向上させるものとなっています。また、キヤノン（株）、グループ会社の約6万人の従業員に対し、不審メールを受け取った際に適切に対処し被害を拡大させないための実践教育として標的型攻撃メール対応訓練も実施しました。特に、メールでの業務に慣れていない新入社員については、別途訓練を実施し、教育を強化しています。

• ※ セキュリティ対策を実行する時に知っておくべき知識やスキル

事業継続計画

キヤノンの本社ビル、情報システムや研究開発の基幹設備は、東京近郊に集中していますが、一般的に日本は世界のほかの国・地域と比較して地震の頻度が高いため、地震被害も受けやすい地域であるといえます。また、研究開発、調達、生産、ロジスティクス、販売、サービスといったキヤノンの施設や事務所は世界中に点在し、地震・洪水などの自然災害、テロ攻撃といった事象にともなうインフラの停止により混乱状態に陥る可能性があります。キヤノンは、このような万が一の災害などに対しても事業を継続できる体制を整備することを企業としての重大な社会的責任の一つと考えています。こうした認識のもと、事業継続計画（BCP）^※1や「キヤノングループ防災行動指針」の策定をはじめ、同類機種を複数の拠点で並行生産するバックアップ体制の構築、旧耐震基準の建築物改修や地域との防災協定締結、情報収集・報告体制の整備など、災害時の事業継続対策を推進しています。

特に、下丸子本社では、世界本社という重要性を考慮し、危機管理対策室の整備、自家発電設備・燃料・装備品・備蓄品などの整備を進めたほか、通信設備の多重化も実施しています。また、情報システムのバックアップとしてディザスターリカバリーセンター^※2を設置することで、首都直下型地震などの大規模災害時においても基幹システムが安全に作動できる体制を整備しています。

国内グループ会社の全拠点においても、建物の改修や非常時通信設備の整備、非常時対応体制の整備を進め、従業員に対しては実践的な防災訓練などを通じて災害時対応に関する意識啓発を図っています。また、各拠点のさまざまな場所に設置した監視カメラのデータを利用し、災害時には本社から各拠点の被災状況を迅速に把握できる体制を整えています。さらに、自然災害や火災から早期に人命の安全を確保するとともに、2次災害を防止し会社資産を保護することを目的とした担当者マニュアルを整備し、各グループ会社でも、立地する地域の災害リスクに応じて、スムーズな復旧をめざす地域版マニュアルを策定しています。このマニュアルにもとづき、2023年は、45拠点で有事対応シミュレーション訓練を実施しました。

• ※1 Business Continuity Planの略。災害や事故などの際にも最低限の事業を継続し、短期間で復旧できるよう策定された行動計画
• ※2 災害によるシステム停止に備えて、システム内のデータをバックアップするための施設

経済安全保障への取り組み

近年、地政学リスクの高まりを受け、特定国への過度な依存の見直しなどの備えが求められてきています。経済安全保障として先端技術の優位性確保、重要技術の自立性の向上、重要物資のサプライチェーンに係る脅威の低減などが各国で重視され、法制化の動きもみられます。日本でも経済安全保障推進法が2022年5月に成立しています。

これらの課題へ全社横断的に対応するため、キヤノン（株）は経済安全保障に関し、経済安全保障統括室が社内外情報を集約・調査・分析し、グループ全体へ共有するしくみを構築するなど、リスクへの対応力を強化しています。

適正な納税の履行

世界中で事業を展開するキヤノンにとって、事業活動を行う国・地域において納税義務を適正に履行することは、企業が果たすべき最も基本的かつ重要な社会的責任の一つです。こうした認識のもと、キヤノン（株）は経理本部が税務を統括する体制を取り、以下の原則を遵守しています。その結果、2023年も大きな影響を与える罰金などの制裁措置は受けていません。

1. 税務関係法令およびその精神を遵守し、租税回避を意図した税務プランニングは行わず、適正に納税する
2. 税務に関係ある会計処理およびその関連措置については、つねに遺漏のないようにし、適法な税務管理を行う
3. 税務に関するガバナンス体制を整備し、税務コンプライアンス意識の向上に努める
4. 国際税務に関する国際社会共通のルール（経済協力開発機構/国際連合が定めるガイドラインなど）を尊重し、各国の税務関係法令に準拠する

法人税等